더 악랄해진 ‘사이버 인질 강도’ 랜섬웨어
  • 정락인 객원기자 (sisa@sisajournal.com)
  • 승인 2019.02.27 13:19
  • 호수 1532
이 기사를 공유합니다

사람의 감성을 파고드는 지능적인 수법으로 진화…영역 확장해 스마트폰 데이터까지 위협

‘사이버 강도’로 불리는 랜섬웨어의 공격이 갈수록 교묘해지고 있다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없게 만든 뒤, 풀어주는 대가로 금전을 요구하는 악성 프로그램이다. 

지난 2005년부터 서서히 알려지기 시작했고, 지금은 전 세계의 골칫거리가 됐다. 개인뿐 아니라 기업, 공공기관 등을 무차별 공격하면서 매년 엄청난 피해를 야기한다. 랜섬웨어에 감염되면 복원이 거의 불가능하다. 돈을 지불해도 복원되기보다는 오히려 금전적 피해만 입을 수 있다. 

랜섬웨어의 공격에 맞서 사이버 보안 프로그램도 한층 강화되고 있다. 하지만 랜섬웨어의 공격이 교묘하고 악랄하게 진화하면서 각종 보안 프로그램을 무기력하게 만들고 있다. 

초창기 랜섬웨어는 주로 사용자 PC 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 수법이었다. 당시에는 공격자가 걸어놓은 암호화 수준이 그리 높지 않았다. 랜섬웨어 공격을 받더라도 복호화 방법을 통해 데이터를 쉽게 복구할 수 있었다. 이때만 해도 피해가 크지는 않았다. 

하지만 2013년 9월 ‘초강력 렌섬웨어’가 등장한다. 강력한 암호화 알고리즘을 사용한 이른바 ‘크립토락커’(CryptoLocker)다. 이것은 사용자 PC에 저장돼 있는 문서나 사진 파일을 공개키 암호화 방식으로 암호화한다. PC뿐 아니라 PC에 연결된 외장형 하드디스크 드라이브(HDD), 네트워크 드라이브로 연결된 서버까지 잠가버린다. 컴퓨터에 저장된 모든 데이터를 볼 수 없게 만드는 것이다. 내 컴퓨터를 내 마음대로 못 하는 ‘마비’ 상태가 된다. 

피해자가 당황해할 때 공격자는 ‘이걸 풀려면 지정한 기한 안에 돈을 송금하라’고 협박한다. 그리고 돈은 추적이 어려운 ‘비트코인’으로 받는다. 이후 새로운 암호키로 무장한 랜섬웨어들이 속속 등장하고 공격 방법도 다양해졌다. 최근 악명을 떨치고 있는 랜섬웨어는 ‘갠드크랩’(GandCrab)이다. 진화를 거듭해 온 새로운 변종으로 국내에서 가장 활발하게 유포되고 있다. 랜섬웨어는 영역을 확장해 안드로이드 스마트폰 데이터까지 위협하고 있다. 유포 방식도 이메일, 메신저, SNS 등 다양하다. 

랜섬웨어의 공격이 갈수록 교묘해지고 있다. 오른쪽 문서는 악성코드를 심은 랜섬웨어 공격을 위해 무차별 살포되고 있는 메일 ⓒ freepik·랜섬웨어 공격을 받은 컴퓨터 사용자 제공
랜섬웨어의 공격이 갈수록 교묘해지고 있다. 오른쪽 문서는 악성코드를 심은 랜섬웨어 공격을 위해 무차별 살포되고 있는 메일 ⓒ freepik·랜섬웨어 공격을 받은 컴퓨터 사용자 제공

사회적 이슈에 맞게 상황 설정

랜섬웨어는 사람의 감성을 파고드는 지능적인 수법으로 더욱 교묘해졌다. 사회적 이슈와 분위기에 맞는 상황을 설정해 컴퓨터 사용자가 파일을 열어 보지 않을 수 없게 만들고 있다. 한순간에 꼼짝없이 당할 수밖에 없는 현실이다. 

이메일을 통한 랜섬웨어의 공격은 탄복할 정도다. 신호위반을 했다며 ‘교통 범칙금 납부 고지서’란 제목의 이메일을 보내거나 ‘입사지원서’를 가장하기도 한다. 저작권 관련 이미지를 무단 사용했다고 겁을 주며 메일을 보내고 첨부파일을 열어 보라고 유도한다. 온라인 명예훼손으로 고소당했으니 경찰에 출석해 조사를 받으라는 이메일도 무차별 살포되고 있다. 메일이나 첨부된 파일 등을 여는 순간 사용자 컴퓨터는 악성코드에 감염된다. 

보안업계에 따르면 상반기 채용 시즌이 다가오면서 입사지원서를 가장한 랜섬웨어 공격이 기승을 부리고 있다. 타깃은 기업의 인사담당자다. 특정 개인정보가 담긴 입사지원서를 사칭하는데, 마치 취업준비생이 보낸 메일처럼 위장하고 있다. 실제로 채용 중인 특정 직군에 지원하는 것처럼 이력서를 꾸미기 때문에 인사담당자로서는 무심코 파일을 열어 보게 된다. 

이메일 본문에는 첨부파일 실행을 유도하는 내용이 포함돼 있다. 첨부된 압축 파일 내부에는 문서 파일(.doc), 이미지 파일(jpeg), 링크 파일(.lnk), 파워포인트 파일(.ppt) 등이 있는데, 이걸 클릭하면 악성 파일이 실행된다. 그런 다음 사용자 PC에 있는 파일들을 감염시키면서 암호화를 진행한다. 

작업을 하지 않는데도 심한 발열과 함께 시스템이 느려지거나 하드디스크 같은 저장 매체가 쉴 새 없이 돌면 감염을 의심해야 한다. 때로는 지능적으로 일정한 간격을 주면서 암호화 작업을 하는 경우도 있다. 악성코드 감염이 진행되는 동안에도 사용자를 속이기 위해 화면에는 정상 문서 파일이 나타나는 것이다. 

이후 랜섬웨어 동작이 완료되면 바탕화면에 감염 사실을 알리는 문구가 뜬다. 또 PC에 저장된 파일이 암호화되고 임의의 문자열로 확장자가 변경된다. 그런 다음 공격자는 PC 사용자에게 복호화를 조건으로 암호화폐를 요구한다.

요즘 소셜네트워크서비스(SNS)가 활성화되면서 저작권 분쟁도 늘어났다. 이와 관련한 랜섬웨어도 활개치고 있다. 블로그 활동을 활발하게 하는 A씨는 얼마 전 ‘저작권을 위반했다’는 메일을 받았다가 낭패를 당할 뻔했다. 다행히 첨부파일을 열지 않아 랜섬웨어 피해는 입지 않았다고 한다. A씨에게 메일을 보낸 사람은 자신을 ‘장명옥 작가’라고 소개하면서 ‘저작권 관련 이미지 무단사용 안내’라고 알렸다. 

내용에는 “현재 제작한 이미지들을 동의 없이 이용하고 있다”며 저작권법에 문제가 있다고 은근히 겁을 줬다. 그런 다음 본인도 그런 식으로 다른 작가의 이미지를 사용한 적이 있다면서 자신이 제작한 이미지와 메일을 받는 사람이 저작권을 위반한 이미지를 함께 보낼 테니 검토해 보고 조치해 달라고 요구했다. 

그러면서 ‘egg’로 된 첨부파일을 붙여 ‘원본 이미지’와 메일을 받는 사람이 저작권을 위반했다는 ‘사용 이미지’를 함께 보냈다. 이런 메일을 받은 사람 대부분은 첨부파일을 열어 자신이 무단 도용한 이미지가 무엇인지 확인하려고 하기 때문에 ‘아차’ 하는 순간 악성코드에 감염되는 것이다. 물론 ‘장명옥’이라는 작가는 해커들이 만들어낸 허구의 인물이다. 

공격받은 피해자들에게 메일을 보낸 발신자는 ‘박혜윤 작가’ ‘김진영 작가’ ‘임진주 작가’ 등의 이름도 있었다. 이 중에는 실제 작가로 활동하는 이름도 검색되고 있어 쉽게 속아 넘어갈 수밖에 없다. 

경찰서 출석요구서 위장해 공격

B씨는 최근 ‘성북경찰서 출석요구서’라는 제목의 이메일을 받았다. 깜짝 놀란 B씨가 메일을 열어 봤더니 경찰마크가 새겨진 ‘온라인 명예훼손 관련 출석통지서’라면서 ‘신분증과 도장 등을 가지고 경찰서로 출석하라’는 내용이었다. 그러면서 ‘3월1일까지 출석하거나 서면제출을 하지 않으면 불이익을 받을 수 있다’고 경고했다. 해당 이메일의 발신인은 ‘성동경찰서’, 발신 주소는 ‘helpdesk@sungbukpolice.com’이었다. 첨부파일에는 ‘출석요구서.rar’ 파일이 붙어 있었다. 

B씨는 첨부파일을 열기 전 포털사이트에 ‘경찰서 출석요구서 메일’을 검색해 본 후에야 ‘랜섬웨어’라는 것을 알 수 있었다. 경찰서를 사칭한 ‘출석요구서’ 이메일은 최근 무차별 살포되기 시작하면서 피해자도 급증하고 있다. 

메일에 첨부된 출석통지서 파일을 내려 받아 실행하면 컴퓨터는 먹통이 된다. 공격자는 암호를 풀고 컴퓨터를 복구하려면 가상화폐로 1300달러를 송금하라며 일주일 안에 돈을 보내지 않으면 송금 요구액이 2배로 오른다고 엄포를 놨다. 
경찰청은 “지난 2월10일부터 울산지방경찰청, 서울 각 경찰서, 부산 남부경찰서, 인천 미추홀경찰서, 대구 달서경찰서, 수원 남부경찰서 등 15개 경찰관서를 사칭한 악성 이메일이 해외에서 국내로 유포되고 있다”며 각별한 주의를 당부했다.

현재 경찰은 출석 요구 시 이메일을 사용하지 않는다. 조사 대상자의 주소지에 우편물을 보내거나 본인과 전화로 통화해 출석 일정을 조율하고 있다. 이 때문에 ‘이메일 출석요구서’는 모두 가짜라고 보면 된다. 또한 경찰의 공식 이메일 주소는 ‘ID@police.go.kr’이며, 해커가 보낸 이메일 계정은 ‘허위 이메일’이다. 경찰청은 “수집된 이메일 등 디지털 증거 분석과 국제공조수사를 통해 유포자를 추적 중에 있다”고 밝혔다. 

이 기사에 댓글쓰기펼치기